Een van de belangrijkste aspecten van online zakendoen is het creëren van een veilige omgeving waarin klanten met vertrouwen aankopen doen. SSL-certificaten zorgen voor een vertrouwensbasis doordat ze een veilige verbinding maken. Om bezoekers te laten zien dat hun verbinding veilig is, gebruiken browsers zogenaamde EV-indicatoren, visuele signalen zoals een groen hangslot of een URL-balk met een merk.
SSL-certificaten werken met twee sleutels: een openbare en een persoonlijke. Deze sleutels maken gezamenlijk een versleutelde verbinding. Het certificaat bevat tevens een 'subject', de identiteit van de eigenaar van het certificaat of de website.
Om een certificaat te verkrijgen moet u op uw server een Certificate Signing Request (CSR) aanmaken. Hiermee creëert u op uw server een persoonlijke sleutel en een openbare sleutel. Het CSR-gegevensbestand dat u naar de uitgever van het SSL-certificaat verstuurt, de certificeringsinstantie, bevat de openbare sleutel. De certificeringsinstantie gebruikt het CSR-gegevensbestand om een gegevensstructuur te maken die bij uw persoonlijke sleutel past zonder de sleutel zelf te compromitteren. De certificeringsinstantie ziet de persoonlijke sleutel nooit.
Na ontvangst van het SSL-certificaat installeert u het op uw server. U installeert tevens een tussenliggend certificaat, dat de betrouwbaarheid van uw SSL-certificaat vaststelt door het te koppelen aan het root-certificaat van uw certificeringsinstantie. De instructies voor het installeren en testen van uw certificaat verschillen al naargelang uw server.
In de onderstaande afbeelding ziet u de zogeheten certificaatketen. Deze verbindt uw servercertificaat met het root-certificaat van de certificeringsinstantie (in dit geval DigiCert) via een tussenliggend certificaat.
Het belangrijkste aspect van een SSL-certificaat is dat het wordt ondertekend door een vertrouwde certificeringsinstantie als DigiCert. Iedereen kan een certificaat maken, maar browsers vertrouwen alleen certificaten die afkomstig zijn van organisaties die op hun lijst met vertrouwde certificeringsinstanties staan. Browsers zijn voorzien van een vooraf geïnstalleerde lijst certificeringsinstanties. Deze wordt de Trusted Root CA store genoemd. Om op de Trusted Root CA-lijst te komen en zo een certificeringsinstantie te worden, moet een bedrijf voldoen en worden getoetst aan de beveiliging- en authenticatienormen van de browsers.
Een SSL-certificaat dat door een certificeringsinstantie wordt uitgegeven aan een organisatie en zijn domein of website, verifieert dat een vertrouwde externe partij de identiteit van die organisatie heeft geauthenticeerd. Omdat de browser de certificeringsinstantie vertrouwt, vertrouwt de browser nu ook de identiteit van die organisatie. De browser laat de gebruiker weten dat de website veilig is, waardoor de gebruiker de site veilig kan gebruiken en vertrouwelijke informatie kan invoeren.
Met SSL kunnen vertrouwelijke gegevens zoals creditcardnummers, burgerservicenummers en inloggegevens veilig worden verzonden. Gewoonlijk bestaan gegevens die tussen browsers en webservers worden verzonden uit platte tekst. Meekijken is daardoor nogal eenvoudig. Als een hacker alle gegevens kan onderscheppen die tussen een browser en een webserver worden verzonden, kan die informatie worden misbruikt.
SSL is eigenlijk een beveiligingsprotocol. Protocollen beschrijven hoe algoritmes moeten worden gebruikt. In dit geval bepaalt het SSL-protocol de variabelen van de versleuteling, voor zowel de link als de te verzenden gegevens.
Alle browsers kunnen samenwerken met veilige webservers die het SSL-protocol gebruiken. Maar voor het maken van een veilige verbinding hebben de browser en de server een zogenaamd SSL-certificaat nodig.
De internetgegevens van miljoenen mensen worden dagelijks beveiligd met SSL. Het gaat daarbij met name om online transacties en het verzenden van vertrouwelijke gegevens. Internetgebruikers herkennen veiligheid online aan het hangslot dat wordt weergegeven op websites die met SSL zijn beveiligd, of aan de groene adresbalk van websites met Extended Validation SSL. Het webadres van een met SSL beveiligde website begint dan ook met 'https' en niet met 'http'.
Is het principe van SSL-certificaten en SSL-technologie hiermee al wat duidelijker geworden? Meer informatie over SSL-cryptografie.
Wanneer een browser een website opent die met SSL is beveiligd, maken de browser en de webserver een SSL-verbinding door middel van een zogenaamde 'SSL Handshake' (zie onderstaande diagram). De SSL Handshake is onzichtbaar voor de gebruiker en vindt ogenblikkelijk plaats.
In principe worden voor een SSL-verbinding drie sleutels gebruikt: een openbare, een persoonlijke en een sessiesleutel. Iets wat met de openbare sleutel is versleuteld, kan alleen met de persoonlijke sleutel worden ontsleuteld en vice versa. Omdat versleuteling en ontsleuteling met de openbare en persoonlijke sleutel veel rekenkracht kost, worden ze alleen gebruikt om tijdens de SSL Handshake een symmetrische sessiesleutel te maken. Nadat de veilige verbinding gemaakt is, wordt de sessiesleutel gebruikt om alle verzonden gegevens te versleutelen.
Het SSL-protocol wordt al heel lang gebruikt om verzonden gegevens te versleutelen en beveiligen. Bij elke nieuwe, nog veiligere versie, werd alleen het versienummer veranderd (bijv. SSLv2.0). Maar toen geüpdatet moest worden van versie SSLv3.0 werd niet gekozen voor versie SSLv4.0, maar kreeg het protocol een nieuwe naam: TLSv1.0. Op dit moment zijn we bij versie TLSv1.3.
Omdat SSL nog steeds de meer gangbare term is, gebruikt DigiCert TLS/SSL bij het verwijzen naar certificaten of het beschrijven van hoe verzonden gegevens worden beveiligd. Wanneer u bij ons een SSL-certificaat aanschaft, zoals Standard SSL, Extended Validation SSL enzovoort, krijgt u eigenlijk een TLS-certificaat (RSA of ECC).
Toepassingen
Websites die geen betalingen innen of gevoelige informatie verzamelen, hebben HTTPS nodig om activiteiten van gebruikers geheim te houden. Dat geldt ook voor blogs.
TLS/SSL versleutelt en beschermt gebruikersnamen, wachtwoorden en formulieren die worden gebruikt om vertrouwelijke informatie, documenten en afbeeldingen te verzenden.
Klanten zijn eerder geneigd een aankoop te voltooien als ze weten dat uw afrekenpagina's, en daarmee hun creditcardgegevens, veilig zijn.
Aanbevolen type TLS/SSL-certificaat
OV (Organization Validation) TLS/SSL-certificaten: het op een na hoogste niveau van authenticiteit en de op een na grondigste organisatiecontrole.
OV (Organization Validation) TLS/SSL-certificaten: het op een na hoogste niveau van authenticiteit en de grondigste organisatiecontrole.
EV (Extended Validation) TLS/SSL-certificaten: het hoogste niveau van authenticiteit en de grondigste identiteitscontrole.